Titulo do trabalho
Combate a crimes digitais – Uma questão de Gestão
Autor e E-mail:
Rafael Velasquez Saavedra da Silva - [email protected]
Resumo:
Com o avanço da tecnologia e meios de comunicação o hardware incorporou-se ao ambiente e o
software agregou-se à nossa mente, tornando-se assim onipresentes e invisíveis, esse cenário
cibernético não passou despercebido aos olhos dos criminosos de plantão e a evolução foi
acompanhada por uma escalada de ações indevidas, cujos autores vão desde jovens mal
orientados, funcionários insatisfeitos até membros do crime organizado. Com este crescente
aumento de crimes virtuais tornou-se vital para as organizações estruturar um processo de
investigação, coleta, analise e apresentação de provas e o gerenciamento de projetos tornou-se
uma peça chave para integração das ferramentas e metodologias de combate a crimes.
O objetivo deste trabalho é apresentar a importância do gerenciamento de projetos para a
construção de uma metodologia de resposta a incidentes e crimes digitais.
Subtítulos:
1)
2)
3)
4)
5)
6)
Cenário Atual
Computação Forense
Aspectos Legais, Provas e Incidentes
Gestão de projetos no combate a crimes digitais
Conclusão
Referências
Conteúdo:
1) Cenário Atual
Em muitos aspectos, os meios eletrônicos já fazem parte do dia-a-dia da grande maioria das
pessoas. Portanto, o tratamento legal dos dados eletrônicos deve ser realizado considerando-se
não apenas o aspecto tecnológico, mas também o aspecto comportamental, com novas condutas
que passaram a habitar este novo universo jurídico digital, baseado nos princípios gerais do
Direito, nas leis vigentes, nos novos costumes sociais e práticas de mercado nascidos com o
advento das novas tecnologias.
A eliminação de fronteiras oferecida pela Internet gerou um grande problema para as
instituições de combate ao crime, uma vez que facilitou em muito a ocorrência de crimes
eletrônicos onde a vítima e o criminoso encontram-se em países distintos. Criou-se assim a
-1-
Autor: Rafael Velasquez, PMP - [email protected]
obrigatoriedade de troca de informações e evidências eletrônicas entre as agências, contudo, por
se tratar de uma necessidade muito recente, ainda não se conta com padrões internacionais para o
tratamento desse tipo de evidência, dessa forma o valor jurídico de uma prova eletrônica
manipulada sem padrões devidamente pré-estabelecidos poderia ser contestável. Segue abaixo
uma tabela demonstrando o percentual da população mundial com acesso a internet e sua
distribuição geográfica:
WORLD INTERNET USAGE AND POPULATION STATISTICS
Population
( 2008 Est.)
World Regions
Internet Users
Dec/31, 2000
Internet Usage,
Latest Data
% Population
( Penetration )
Usage
% of
World
Usage
Growth
2000-2008
955,206,348
4,514,400
51,065,630
5.3 %
3.5 %
1,031.2 %
3,776,181,949
114,304,000
573,538,257
15.2 %
39.3 %
401.8 %
Europe
800,401,065
105,096,093
384,633,765
48.1 %
26.4 %
266.0 %
Middle East
197,090,443
3,284,800
41,939,200
21.3 %
2.9 %
1,176.8 %
North America
337,167,248
108,096,800
248,241,969
73.6 %
17.0 %
129.6 %
Latin America/Caribbean
576,091,673
18,068,919
139,009,209
24.1 %
9.5 %
669.3 %
33,981,562
7,620,480
20,204,331
59.5 %
1.4 %
165.1 %
6,676,120,288
360,985,492
1,458,632,361
21.8 %
100.0 %
304.1 %
Africa
Asia
Oceania / Australia
WORLD TOTAL
NOTES: (1) Internet Usage and World Population Statistics are for June 30, 2008. (2) CLICK on each world region name for detailed regional usage information. (3) Demographic (Population)
numbers are based on data from the US Census Bureau . (4) Internet usage information comes from data published by Nielsen//NetRatings, by the International Telecommunications Union, by local
NIC, and other reliable sources. (5) For definitions, disclaimer, and navigation help, please refer to the Site Surfing Guide, now in ten languages. (6) Information in this site may be cited, giving the
due credit to www.internetworldstats.com. Copyright © 2001 - 2008, Marketing Group. All rights reserved worldwide.
Tabela 1: Utilizaçao da internet no mundo - Fonte: www.internetworldstats.com
Portanto é fundamental a padronização e documentação de processos de investigação com o
intuito de obtermos eficácia jurídica nas ações. Segue abaixo um resumo do cenário nacional e
internacional no que tange á incidentes de segurança da informação [5]:
Incidentes
de
segurança
da
informação
crescem
66%
em
2006
(197.892 incidentes em 2006 x 68.000 em 2005).
Fraudes: aumento de 35% em 2006.
Crimes cibernéticos provocaram perdas de US$ 1,4 trilhão para os internautas em 2004
em todo o mundo.
Figura 1: Incidentes reportados por ao CERT.br - Fonte: http://www.cert.br/stats/incidentes
-2-
Autor: Rafael Velasquez, PMP - [email protected]
Apesar de ainda podermos interpretar as questões tecnológicas dentro dos parâmetros legais
já consagrados, em alguns aspectos, há a necessidade de se criar a norma de modo dinâmico, já
aplicada ao caso concreto, como única forma possível de gerar, através da interpretação judicial,
a solução destas questões.
A forense computacional é um campo de pesquisa relativamente novo no mundo e está
desenvolvendo-se principalmente pela necessidade das instituições legais atuarem no combate
aos crimes eletrônicos. No Brasil conta-se ainda com poucos pesquisadores na área e existem
poucas normas estabelecidas, o que gera um grande número de possibilidades de pesquisa.
A tecnologia evoluiu, mas as leis mudaram muito pouco nas duas ultimas décadas [6]:
-
Constituição Federal
Código de Defesa do Consumidor
Propriedade Industrial – Lei 9.279
Direito de Autor – Lei 9610
Código Penal
- Lei 9.983 (art 313-A e 313-B)
- Lei 11.106 (art. 148, 215, 216, 226, 227, 231, 231-A)
- Código Civil
- Novas Regulamentações – Sarbanes, Basiléia II e CVM 358
1988
1990
1996
1998
2000
2005
2002/2003
2003/2004
Então as mudanças tecnológicas também são mudanças sociais, comportamentais, portanto,
jurídicas. Quando a sociedade muda, o Direito também deve mudar.
O Direito Digital é evolução do próprio Direito e é definido como um conjunto de princípios
fundamentais e instrumentos jurídicos que atendem a nova realidade da Sociedade Digital [6].
Abrange todas as áreas do Direito, de forma multidisciplinar. Também traz a obrigação de
atualização tecnológica não só para os advogados e juízes, como para delegados, procuradores,
investigadores, peritos e todos os demais participantes do processo. Esta mudança de postura é
necessária para que possamos ter uma sociedade digital segura; caso contrário, coloca-se em
risco o próprio Ordenamento Jurídico [6]. Hoje temos novas necessidades, como segurança da
informação e o usuário, monitoramento e a privacidade, responsabilidade por atividades
realizadas em equipamentos da empresa e gestão de contratos com cláusulas específicas para
blindagem legal (especialmente os de terceirização), entre outras.
2) Computação Forense
A Computação Forense tem o objetivo de suprir as necessidades das instituições legais no
que se refere á manipulação das novas formas de evidências eletrônicas. Ela é a ciência que
estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico
e armazenados em algum tipo de mídia computacional [1].
Ao contrário das outras disciplinas forenses, que produzem resultados interpretativos, a
forense computacional pode produzir informações diretas, que por sua vez, podem ser decisivas
em um dado caso. Isso pode ser notado no exemplo muito simples que se segue: no caso de um
assassinato, o legista verifica que há traços de pele em baixo das unhas da vítima, isso é
interpretado como um indício de que houve luta antes da consumação do crime, contudo não
-3-
Autor: Rafael Velasquez, PMP - [email protected]
passa de uma interpretação. Já no caso de uma perícia em uma máquina suspeita podem ser
conseguidos arquivos incriminadores como diários e agendas [1].
O problema de resolver um mistério computacional nem sempre é fácil, existe a necessidade
de não se observar o sistema como um usuário comum e sim como um detetive que examina a
cena de um crime. Felizmente os programadores levam alguma vantagem neste assunto, pois
muitas das habilidades necessárias para se procurar um erro em um código fonte, são também
necessárias para uma análise forense, tais como: raciocínio lógico, entendimento das relações de
causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta. A
figura abaixo mostra os crimes virtuais mais comuns [8]:
Figura 2: Crimes digitais mais comuns. - Fonte: Computer Security Institute
Uma perícia em um computador suspeito de invasão ou mesmo um computador apreendido
em batida policial envolve uma série de conhecimentos técnicos e a utilização de ferramentas
adequadas para análise.
Hoje com todo este avanço tecnológico passamos a ter novas necessidades que exigem
regras claras, permanente monitoramento e principalmente educação do usuário definindo limites
e responsabilidades de ações como enviar um e-mail, atender ao celular, acessar o Internet
Banking, ler uma notícia on-line, participar de um Chat, fazer uma compra on-line, registrar um
Domínio e transmitir fotos e vídeos pessoais na rede da empresa.
Para termos eficácia jurídica temos que programar o próprio direito na via de uso da
tecnologia, ou seja, definir a regra no próprio jogo. Podemos fazer isso aplicando a lógica
indutiva, inserindo as vacinas legais nas interfaces e fazendo a arquitetura legal da
informação. Para melhor blindar os processos temos que tirar dos contratos e inserir
diretamente nas interfaces eletrônicas seguindo os passos: a) definir conceitos; b) tornar a
informação clara e objetiva; c) Ensinar na própria via de uso; d) Capacitar às equipes; e)
Formalizar os procedimentos e gerar documentação padronizada.
São divididas em 4
etapas a computação forense [5]:
a)
b)
c)
d)
-4-
Identificação
Preservação
Análise
Apresentação das Evidências
Autor: Rafael Velasquez, PMP - [email protected]
3) Implicações Legais, Provas e Incidentes
Alguns aspectos legais devem ser avaliados em crimes eletrônicos, como por exemplo:
territorialidade e a correta classificação de delito-meio e delito-fim.
Muitas vezes o delito informático é apenas o delito meio, e o delito fim herda a característica
informática devido a sua forma de consumação.
Podemos classificar os crimes eletrônicos como próprios e impróprios sendo classificados
como impróprios (delito-meio) crimes não tipicamente informáticos, por exemplo: calúnia,
injúria, difamação. E como crimes eletrônicos próprios (delito-fim) que são tipicamente
informáticos, por exemplo: interceptação dados telemáticos e inserção de dados falsos em
sistemas [6].
Não existem normas específicas no Brasil que regem a forense computacional, contudo
existem normas gerais que abrangem todos os tipos de perícia (ditadas no Código de Processo
Penal), podendo ser adotadas no âmbito computacional, salvo algumas peculiaridades. No caso
de uma perícia criminal existe a figura do Perito Oficial (dois para cada exame), onde o seu
trabalho deve servir para todas as partes interessadas (Polícia, Justiça, Ministério Público,
Advogados, etc.). Para se fazer perícia criminal, o profissional precisa ter nível universitário e
prestar concurso público específico, podendo existir, porém a figura do perito “ad hoc” para o
caso de não existirem peritos oficiais disponíveis [1]. Logo quando se descobre uma invasão na
rede deve-se imediatamente entrar em contato com as organizações de resposta á incidentes de
segurança e tomar todas as medidas legais cabíveis.
A responsabilidade do perito no exercício da sua função deve ser dividida em duas partes
distintas: aquela do ponto de vista legal, onde lhe são exigidos algumas formalidades e
parâmetros para sua atuação como perito; e as de ordem técnica, necessárias para desenvolver
satisfatoriamente os exames técnico-científicos que lhe são inerentes [1].
O perito deve seguir à risca as normas contidas no Código de Processo Penal, dentre elas
pode-se destacar duas para exemplificar a sua possível abordagem computacional:
• Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas.
É sempre possível fazer cópias assinadas digitalmente das mídias que estão sendo
investigadas para que possam ser feitas análises futuras se necessário. Na verdade o interessante
é sempre atuar em cima de cópias, como será visto na sessão seguinte:
• Art. 171. Nos crimes cometidos com destruição ou rompimento de obstáculo a
substração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios,
indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato
praticado.
Existe a necessidade de se documentar quais as ferramentas de software utilizadas para se
fazer à análise, bem como a possível identificação de uma linha de tempo, que pode vir a ser
conseguida através da análise dos MAC times. Paralelos assim podem ser feitos a fim de se
-5-
Autor: Rafael Velasquez, PMP - [email protected]
garantir o valor judicial de uma prova eletrônica enquanto não se tem uma padronização das
metodologias de análise forense.
As provas têm o objetivo de estabelecer uma verdade por verificação ou demonstração. A
finalidade da prova é o convencimento do juiz, que é o seu destinatário.
Não se busca a certeza absoluta, a qual, aliás, é sempre impossível, mas a certeza relativa
suficiente na convicção do magistrado. Devem ser obtidas através de meios lícitos, que não
contrariem a moral e os bons costumes. Nenhum réu será condenado com base em prova ilícita,
de acordo com o artigo 5º, LVI, CF/88;
O incidente ocorre quando um evento afeta a integridade, confidencialidade ou a
disponibilidade da informação, ou seja, um incidente é um “incidente” quando se trata de uma
atividade realizada através da utilização de recursos de processamento e acesso a informações
que danifica em qualquer instância a confidencialidade, integridade ou disponibilidade de
determinada informação ou ativo de informação [2].
Seguem abaixo alguns exemplos mais comuns de incidentes [2]:
a)
b)
c)
d)
Mau funcionamento ou sobrecarga de sistema
Falha humana
Vulnerabilidades no controle do acesso físico
Violação de Acesso
4) Gestão de projetos no combate a crimes digitais
As ações para reação aos crimes ainda se encontram dispersas dependendo muitas vezes do
talento de um investigador para coleta, preservação e análise de provas e após todo este trabalho,
o processo não tinha efetividade, pois todos os passos devidos para a blindagem jurídica não
foram seguidos, baseado nisso o gerenciamento de projetos surgiu como uma arma para
organizar e definir quais são os stakeholders envolvidos, o escopo da investigação, qual o tempo
correto investigação, coleta e análise de provas para não prescrição do crime, riscos envolvidos
em uma investigação, a qualidade das provas bem como a estruturação do processo de
comunicação. O objetivo deste capítulo é apresentar a importância do gerenciamento de projetos
para a construção de uma metodologia de resposta a incidentes e crimes digitais.
Este capítulo está dividido em duas partes com o intuito de esclarecer os conceitos
envolvidos no gerenciamento de projetos e também a sua relação com os processos de
investigação, resposta a incidentes e combate a crimes digitais.
4.1 Uma visão sobre gerenciamento de projetos
O gerenciamento de projetos é a aplicação de conhecimento, habilidades, técnicas e
ferramentas as atividades do projeto a fim de atingir os requerimentos dos projetos [3]. E
inclui:
a) Estabelecimento de objetivos claros e atingíveis
-6-
Autor: Rafael Velasquez, PMP - [email protected]
b) Balanceamento das demandas que competem entre si para qualidade, escopo, tempo e
custo.
c) Adaptação as especificações, planos e estratégias para as diferentes preocupações e
expectativas dos stakeholders.
Vantagens e benefícios esperados com a implantação de uma metodologia de
gerenciamento de projetos:
a)
b)
c)
d)
e)
Definição clara e detalhada do escopo e das metas de projeto
Estabelecimento de método de medida de desempenho
Formalização do processo de solicitação e controle de mudanças
Identificação e avaliação dos riscos de projeto
Melhoria da comunicação entre os participantes e envolvidos nos projetos
4.2 Gerenciamento de Projetos x Implantação de uma metodologia de combate a
incidentes e crimes digitais
Como todo trabalho de implantação metodológica deve ser iniciado com a mudança
cultural de toda a equipe envolvida diretamente nos processos de investigação, pois somente
assim o trabalho poderá ter eficácia, portanto é fundamental destacarmos os passos e o ciclo
de vida necessário para implantação de uma metodologia de combate a incidentes e crimes
digitais:
a) Diagnóstico
Avaliar todo o ambiente da empresa, identificando os principais incidentes e fraudes
já ocorridas, os stakeholders (quem é quem), patrocinadores, nível de sigilo do
projeto, expectativa de resultado (qualidade), um escopo macro de investigação e
logicamente todos os riscos jurídicos ou não, pois para o efetivo resultado na
investigação os processos de coleta, análise e perícia em evidências digitais devem
estar blindados juridicamente.
b) Planejamento
Planejar cuidadosamente as etapas, recursos e atividades inerentes ao processo de
investigação, ou seja, devem ser mapeadas as necessidades da empresa, a cadeia de
custódia1 e os procedimentos de coleta, análise e perícia em evidências [5].
c) Capacitação
Treinar e capacitar os recursos envolvidos nas ferramentas, técnicas e softwares
específicos para execução das atividades de investigação.
d) Implantação
Implantar os processos definidos no planejamento com o desenvolvimento de
fluxogramas, modelos de documentos e configuração dos softwares específicos para
toda a investigação.
1
Cadeia de Custódia: Documento que visa resguardar as ações tomadas numa investigação desde a coleta até a apresentação da evidência em
Juízo.
-7-
Autor: Rafael Velasquez, PMP - [email protected]
e) Gerenciamento
Administrar a execução do Projeto, propondo medidas necessárias para o alcance dos
resultados contratados, elaborando atas de reuniões, relatórios de acompanhamento e
efetividade do projeto. Além é claro de promover ações visando à integração da
equipe.
f) Acompanhamento Pós-Implantação
Acompanhar em uma investigação real (piloto) os recursos determinados pela
empresa para averiguar se todos os passos levantados e implantados têm efetivo
resultado e se é necessário rever algum processo ou mesmo fluxo de investigação,
além de coletar as lições aprendidas das atividades.
A figura abaixo mostra o relacionamento dos grupos de processo do PMBOK [3] e o
ciclo de vida de um projeto de implantação de uma metodologia de combate a incidentes e a
crimes digitais.
Figura 3: Relacionamento entre os grupos de processo do PMBOK e Metodologia de combate a crimes
O processo de investigação pode envolver desde a alta direção da empresa até o nível
mais baixo na pirâmide organizacional, portanto para a implantação da metodologia é
importante inicialmente definir quais serão os stakeholders que terão ciência desta atividade,
também é importante citar que o acompanhamento de um escritório jurídico é fundamental
para o resultado do trabalho, pois garante que todas as atividades propostas pela
metodologia não ferem a Constituição Brasileira bem como os códigos de conduta da
empresa obtendo assim a blindagem jurídica.
A tabela abaixo demonstra o completo relacionamento entre as áreas de conhecimento e
grupos de processo do PMBOK com as etapas do ciclo de vida da metodologia a ser
implantada:
Ciclo de Vida da
Metodologia
Diagnóstico
-8-
Atividades
Definição das diretrizes e levantamento das partes
interessadas no projeto e assinatura dos termos de
confidencialidade.
Detalhamento do cronograma com todas as
atividades e levantamento dos riscos do projeto.
Entendimento inicial do atual ambiente da empresa
Grupos
Processo
PMBOK
Iniciação
de
Áreas
de
Conhecimento
PMBOK
 Escopo
 Comunicações
 Tempo
 Riscos
 Aquisições
 Custo
Autor: Rafael Velasquez, PMP - [email protected]
Planejamento
Capacitação
Implantação
Gerenciamento
Acompanhamento
Pós-Implantação
com a aplicação do check-list preliminar.
Reunião com a equipe jurídica que acompanhará as
etapas do projeto.
Mapeamento das necessidades de aquisição e
licenciamento de software.
Confecção do Plano de Projeto
Entrevistas com todas as áreas envolvidas nas
etapas de investigação, por exemplo: Auditoria
Interna e equipe Anti Fraude.
Mapeamento e documentação dos processos de
investigação levantados nas entrevistas
Validação jurídica de toda a documentação, com o
intuito de avaliar se os processos estão blindados
juridicamente.
Obtenção do aceite de todas as partes interessadas
sobre os processos levantados.
Treinamento e capacitação de toda a equipe
envolvida no projeto nos processos de
investigação, computação forense, softwares de
apoio a investigação e conceitos jurídicos.
Construção dos documentos modelos que deverão
ser utilizados nos processos de investigação.
Instalação dos softwares de investigação.
Efetuar os testes nos processos e softwares de
investigação.
Obtenção do aceite de todas as partes interessadas
sobre o resultado da implantação.
Acompanhamento e controle do projeto com a
geração de status report, correção de possíveis
desvios, gerenciamento das partes interessadas e
controle e monitoramento dos riscos do projeto.
Acompanhamento em ambiente real de uma
investigação a fim de averiguar a efetividade da
metodologia.
Registro das lições aprendidas no projeto.
Obtenção do aceite de todas as partes interessadas e
abertura do processo de encerramento do projeto
com a apresentação final dos resultados e produtos
do projeto, também é executado o encerramento
administrativo e contratual.
 Recursos
Humanos
Planejamento







Escopo
Comunicações
Tempo
Riscos
Aquisições
Custo
Qualidade
Execução






Escopo
Comunicações
Riscos
Custo
Qualidade
Recursos
Humanos
Monitoramento
e Controle
 Todas as áreas.
Encerramento






Comunicações
Riscos
Aquisições
Custo
Qualidade
Escopo
Tabela 2: Descrição das atividades para implantação da metodologia de combate a incidentes e crimes digitais.
5) Conclusão
A Forense computacional pode ser uma disciplina forense bastante atual e relacionada com
uma das áreas cientificas que mais evolui atualmente, a criminalística, por isso deve manter-se
atualizada com em relação aos conhecimentos técnico-científicos [7]. Além disso, a crescente
utilização de computadores em atividades criminosas fundamenta tal necessidade de implantação
de um processo estruturado de combate a incidentes e crimes digitais com utilização das práticas
de gerenciamento de projetos no sentido de se entender como obter e utilizar melhor as
evidências digitais no amparo á justiça.
-9-
Autor: Rafael Velasquez, PMP - [email protected]
6) Referências
[1] – Guimarães, C. C., & Geus, P. L. (2008). Forense Computacional. Aspectos Legais e
Padronização . Campinas, São Paulo: Unicamp.
[2] – ABNT – Associação Brasileira de Normas e Técnicas. Tecnologia da informação – Código
de prática para a gestão da segurança da Informação. NBR ISO/IEC 17799:2005.
[3] – A Guide to the Project Management Body of Knowledge. Newton Square. Project
Management Institute - (ed. 2004).
[4] – PMI - Project Management Institute. (30 de Julho de 2008). PMI - Project Management
Institute. Acesso em 30 de 07 de 2008, disponível em Project Management Institute:
www.pmi.org
[5] – Axur. (28 de 07 de 2008). Axur Information Security. Acesso em 28 de 07 de 2008,
disponível em Axur Information Security: www.axur.com.br
[6] – Pinheiros, P. P. (29 de Julho de 2008). Patrícia Peck Pinheiros Advogados. Acesso em 28
de 07 de 2008, disponível em Patrícia Peck Pinheiros Advogados - Centro de Conhecimento:
http://www.pppadvogados.com.br
[7] – Reis, M. A., & Geus, P. L. (28 de 07 de 2008). Forense Computacional. Procedimentos e
Padrões . Campinas, São Paulo: Unicamp.
[8] - Manolea, B. (2008). Cyber crime impact on Businesses. www.riti-internews.ro, Internews
- 10 -
Autor: Rafael Velasquez, PMP - [email protected]